应急响应真的很重要!

本文参考:2014年电信网和互联网安全操作系统基线

目录

看一下win10的用户​编辑

用户自身

查看用户命令

提权命令

看一下管理员

打开本地安全策略

将密码必须符合复杂性要求进行开启​编辑

 参照基线效果

​编辑

 效果图:

开启日志​编辑

 用event进入日志

查看启动项

记得关闭自动播放​编辑

隐藏用户手法

一、用户后面加$可以躲到命令查 

二、改SID注册表隐藏法


看一下win10的用户应急响应真的很重要!_第1张图片

 这里的来宾用户肯定是不能登陆的

用户自身

应急响应真的很重要!_第2张图片

这边他的所属组肯定是管理员组

查看用户命令

应急响应真的很重要!_第3张图片

添加用户格式,比如你想添加hacker用户,net user hacker  'password' /add

                                        删除hacker用户,net user hacker  'password' /del

添加时cmd必须要用管理员运行。成功以后他的权限隶属于User

提权命令

应急响应真的很重要!_第4张图片

看一下管理员

应急响应真的很重要!_第5张图片

打开本地安全策略

位置:控制面板\所有控制面板项\管理工具  --->本地安全策略

命令打开方式:gpedit.msc

应急响应真的很重要!_第6张图片

关闭系统

应急响应真的很重要!_第7张图片

 注意:服务的路径,必须要有双引号引起来,否则会造成入侵危害。

比如服务的路径为 C:\Program Files\Common Files\System,他的工作流程是先去找C:\Program Files.exe ,找不到再去找C:\Program Files\Common Files.exe。

那么我们就可以在C:\Program Files里面上传一个Program Files.exe执行文件然后进行反向连接。

所以我们最好要在关闭系统那里只保留administrators

应急响应真的很重要!_第8张图片

将我圈出来的删除掉。就搞定。 

将密码必须符合复杂性要求进行开启应急响应真的很重要!_第9张图片

 参照基线效果

应急响应真的很重要!_第10张图片

 效果图:

应急响应真的很重要!_第11张图片

开启日志应急响应真的很重要!_第12张图片

 用event进入日志

应急响应真的很重要!_第13张图片

 注:id为4624登陆成功        4625登录失败

3389 是远程登录端口

应急响应真的很重要!_第14张图片

远程连接命令:mstsc

查看启动项

命令: msconfig

应急响应真的很重要!_第15张图片

记得关闭自动播放应急响应真的很重要!_第16张图片

  

 

隐藏用户手法

一、用户后面加$可以躲到命令查 

应急响应真的很重要!_第17张图片

二、改SID注册表隐藏法

将F修改为管理员的F

应急响应真的很重要!_第18张图片

 导出一下这两个表

应急响应真的很重要!_第19张图片

将test用户删除

 

加载一下刚在导出的两个表

应急响应真的很重要!_第20张图片 

效果只有注册表里有。那我们试一下账户存在不。 应急响应真的很重要!_第21张图片

完全可以。 

你可能感兴趣的:(html,前端)